嫦娥四號著陸器數據管理系統設計特點與驗證

葉志玲 顧明 張翠濤

(北京空間飛行器總體設計部，北京 100094)

早期數據管理分系統(簡稱數管分系統)的主要功能是以遙測數據采集、格式化,以及遙控命令的處理和分配為主。這是因為數據管理技術剛剛起步,其能力和可靠性(尤其是軟件可靠性)還不能滿足(至少是當時尚未被實際工程所證明)航天器自主管理的要求。這種現狀使不少人對數管分系統的存在意義產生過疑問。但是隨著數管分系統在軌運行的出色表現,人們對它的期望也日益提高,逐漸把越來越多的星上自主管理任務賦予了它[1]。

嫦娥四號任務的特點是基于中繼鏈路進行測控數傳通信，在月球背面進行軟著陸并開展科學探測。這就需要數據管理系統在電子設備體積、質量、功耗嚴格約束的條件下，解決深空中繼鏈路信道受限情況下復雜密集信息流的高效傳輸問題。

鑒于此，本文介紹嫦娥四號數據管理系統的設計特點，重點解決以下問題：①對體系結構進行優化設計實現輕小型化；②對測控數傳信息流進行精細化設計滿足任務需求；③利用自主運行策略降低中繼鏈路的使用風險。并通過在軌運行情況驗證該設計方法的有效性。

1 體系結構優化設計

根據嫦娥四號著陸器任務特點及約束條件，數管分系統采用集中與分布式相結合的體系結構，單機設備中集成了多個功能模塊，由內部總線相連，分布式的總線結構使用一條公共的數據總線(或網絡)連接所有的處理器單元(見圖1)。和其它分布式體系結構相比，具有模塊性好，易于擴展，容錯性好以及簡單等特點[2]。

注：SMU為系統管理單元；DIU為數據接口單元；PSK為移相鍵控；PCM為脈沖編碼調制；UHF為特高頻；LVDS為低電壓差分信號；GNC為制導、導航與控制。

圖1 數管分系統拓撲結構

Fig.1 Topological structure of data management structure

通過對整器資源進行跨分系統綜合利用，對整器功能和信息流進行合理設計劃分管理，實現信息的集中管理和分類處理，最大限度地實現電子設備功能的集成設計，根據整器布局以及各艙段測控需求，并考慮最大限度節省穿艙和設備間電纜連線，數管分系統分+Y艙和-Y艙進行整器測控管理。在功能需求分析基礎上，通過機、電、熱一體化設計、軟硬件協同設計，優化資源分配，減少系統間的接口和硬件資源的消耗，將傳統的數管設備(中央單元、遙控單元、遠置單元、高速復接器、大容量存儲器)和其它分系統設備(載荷總線控制器、配電器、火工品控制器、熱控加熱器、+Y/-Y太陽翼機構控制器、轉移機構控制器、定向天線雙軸機構控制器、相機指向機構控制器、-Y艙蓋機構控制器等)集成為兩臺單機SMU和DIU，在元器件和材料的選用上，將鋁鎂合金輕型材料作為平臺關鍵單機電子設備的機殼，并大量采用了表貼器件、FPGA、高密度接插件等集成器件，有效減輕了系統的重量功耗，同時解決設備高集成后的電磁兼容性和抗干擾問題，實現系統的輕小型化。

2 信息流精細設計高效應用

根據嫦娥四號任務需求[3]，著陸器要著陸到月球背面，除了需要實現傳統的地月通信、器器通信外，在著陸器與地面站間受到月球遮擋無法直接與地面進行通信時，利用中繼衛星中繼鏈路實現遙控、遙測及載荷數據的轉發。如圖2所示，著陸器通信鏈路包括對地鏈路、中繼鏈路及器間鏈路，其中對地鏈路包括上行鏈路和下行鏈路，中繼鏈路由前向鏈路和返向鏈路組成。在這種復雜通信鏈路體制下，如何基于現有資源，設計出靈活多變滿足用戶要求的鏈路信息流就變得尤為重要。

圖2 著陸器通信鏈路示意圖

嫦娥四號最遠中繼通信距離約為80 000 km,造成約210 dB自由空間損耗，在追求信道容量的同時,還要兼顧鏈路的功能性與穩定性。在中繼鏈路系統設計過程中,首要解決的問題就是克服遠距離對中繼通信造成的不利影響，需要從多方面、多維度針對應用場景開展數傳信息流精細化設計見表1，最終實現中繼鏈路信道高效利用。

表1 對中繼返向數傳應用

1)多信道設計

動力下降過程中,首先要考慮的是在組合體姿態高動態變化的情況下,傳輸通道的天線覆蓋性，其次才是盡可能高的數傳碼速率。因此動力下降過程利用數傳輸出1通道通過著陸器中增益天線返向數傳碼速率：50 kbit/s(信道編碼后)傳輸降落相機的圖像數據；利用數傳輸出2通道通過全向天線返向數傳碼速率：1.4 kbit/s(信道編碼后)傳輸工程遙測數據。

2)長短幀設計

在低檔返向碼速率工作期間,數據幀長度決定了返向鏈路的首幀捕獲時間和轉發時延。為了縮短首幀捕獲時間和轉發時延,在嫦娥四號中繼鏈路系統中設計了256 byte長度和1024 byte長度的兩種不同長度的幀長[4],在動力下降過程中數傳輸出短幀數據,可以提高中繼衛星對著陸器返向遙測信號的捕獲與解調速度。

3)圖像自適應實時下傳設計

用50 kbit/s的碼速率不足以支撐降落相機13.3 Mbit/s的數據，因此通過設計自適應圖像抽取算法[5]，在動力下降過程中，接收降落相機低壓縮比8∶1和高壓縮比64∶1的圖像數據保存，并將64∶1的高壓縮比圖像數據通過中增益天線實時下傳，中增益天線返向鏈路全部下傳圖像數據；著陸后，將數管大容量存儲的所有降落相機圖像通過著陸器定向天線返向數傳高碼速率傳回地面。此方法解決了高碼率輸入圖像數據實時存儲并同時實時抽取當前最新圖像慢速下行的難題，保證了著陸過程中圖像下傳的高效性和實時性。

4)多碼速率設計

數據量較大的探測數據傳輸應安排在兩器姿態較為穩定的情況下進行,這樣更有利于保證較高增益天線的指向性。同時,考慮到落月后兩器與中繼衛星之間的通信距離在47 000 km至80 000 km范圍內變化。返向鏈路應采用分檔設計, 設計出4種數傳輸出速率：①著陸器全向天線返向數傳碼速率為1.400 kbit/s(信道編碼后)；②著陸器中增益天線返向數傳碼速率為50.000 kbit/s(信道編碼后)；③著陸器定向天線返向數傳碼速率為280.899 kbit/s(信道編碼后)；④著陸器定向天線返向數傳碼速率為555.556 kbit/s(信道編碼后)。以充分利用不同通信距離情況下的信道資源。

5)多模式設計

嫦娥四號著陸器任務過程包括發射段、地月轉移段、環月段、動力下降段、月面工作段5個部分，不同部分所關注的遙測數據各有不同，為了有效利用返向鏈路信道，對應設計5種虛擬信道數據單元(VCDU)格式，即巡航格式、軌控格式、著陸格式、月面初始化格式、月面格式。其中VCDU格式的轉換條件既可以通過地球站發送遙控注入數據無條件地進行格式轉換，也可以根據設定的條件，在地球站允許的情況下，星上自主控制進行格式的轉換。

3 識別風險設計自主運行策略

針對嫦娥四號在月球背面進行軟著陸并開展科學探測的任務目標，識別中繼鏈路使用風險：嫦娥四號在月球背面利用中繼鏈路進行測控數傳通信，人類對月球背面地形地貌了解甚少，著陸點附近是否存在中繼鏈路遮擋；若存在遮擋如何有效的進行故障診斷，并在中繼衛星軌跡離開遮擋時如何快速重新建立中繼鏈路；當中繼鏈路出現異常時，器上設備需要具備自我管理功能，減少對地面控制依賴，為排除中繼鏈路異常創造時間與可能。在嫦娥四號的整個任務階段，有若干個影響任務成敗的關鍵事件，例如器箭分離、動力下降、兩器釋放分離、休眠喚醒等。這些事件時序要求強，不能中斷。如何讓器上執行這些關鍵事件時，不受中繼鏈路因素的影響，提高關鍵事件完成的可靠性與精準性，也是不容忽視的問題。從完善自我診斷及重構能力、增強未知風險應對能力、增加核心設備的自主管理能力、保證關鍵事件完成的可靠性與精準性4個方面制定自主運行策略。

3.1 自我診斷及重構策略

作為整器自主運行核心的數據管理分系統，首先要保證自身高可靠高安全的工作。自主運行管理平臺由軟件和硬件協同工作而實現的，除了硬件進行備份、冗余設計外，軟件內務管理任務也實現了一系列的自我診斷與重構設計[6]。

(1)重要數據和器上時間備份在多個RT終端中，確保了當一個終端發生故障時，重要數據仍能恢復。

(2)應用軟件具有在軌維護功能，提供對軟件功能模塊(函數)在軌修改、更換的支持能力。

(3)總線消息的重試設計，為了更好地利用A、B總線的熱冗余功能，提高系統的可靠性，對不同的消息采用了不同的重試方法。

(4)對各個RT終端的A、B總線進行輪檢，檢查周期為1 s(A、B總線間隔交替)，若與所有總線的通訊都不成功，在軟件自主切機使能時切機。

(5)內存自檢功能，周期性的讀取內存數據，若發生單bit錯誤，則將讀出數據進行回寫，糾正單bit錯誤；若發生雙bit錯誤，在軟件自主切機使能時切機，否則復位。將1 M內存全部讀取周期時間不超過3 h。

(6)對器上時間停止檢查功能，自主切機使能時，SMU應用軟件以64個時間片(約7.68 s)為周期對器上物理時間進行檢查，如果連續3次均未變化，則認為時間已停止，進行自主切機。

3.2 應對未知風險策略

當飛行階段在軌姿態異常，測控指向未知，不能與地面建立上下行鏈路時，器上會自動啟用啟旋控制功能；當落月后受到月球背面地形地貌遮擋，不能與中繼衛星建立前返向鏈路時，器上會自動啟用月面工作段返向天線自主切換管理功能，讓整器以第一時間能與離開遮擋的中繼衛星建立前返向鏈路，把未知因素帶來的風險降到最低。

(1)啟旋控制功能。通過監視和分析地面指令到達情況，軟件可發出指令使整器按預先設置以小角度自動旋轉，直到地面捕獲接受到上行指令，停止自身旋轉，恢復上下行鏈路。

(2)月面工作段返向天線自主切換管理。實現月球背面工作階段對返向天線的狀態診斷和自主切換。通過監視和分析地面指令到達情況，軟件可自主執行包含有開關指令和軟件指令的復合型指令序列，實現從定向天線返向鏈路到全向天線返向鏈路的切換。

3.3 核心設備自主管理策略

器上平臺系統是深空任務的保障，當中繼鏈路出現異常時，在不依賴地面控制的前提下，熱控自主管理功能、蓄電池組過放電保護功能保證器上能源的可靠與穩定；高壓自鎖閥控制管理功能、軌控管路超壓管理功能保障推進分系統的可靠工作；測控固態放大器超溫斷電自主管理功能保障測控分系統的安全工作。自主管理任務的實現，為排除中繼鏈路故障創造時間與可能，大大降低了中繼鏈路的使用風險。

(1)熱控自主管理功能，改進并增強加熱器自主控制功能。在嫦娥三號加熱器自主控制功能的基礎上，除了擴展加熱器數量和更新控制參數外，改進提高控制策略的靈活性，滿足熱敏電阻和加熱器多模式選用要求和復雜組合關系。

(2)蓄電池組過放電保護功能，改進并增強蓄電池放電保護功能。在嫦娥三號蓄電池放電保護功能的基礎上，增加程控總線指令能力，滿足了載荷類型變化、控制要求精細度提高的要求。

(3)高壓自鎖閥控制管理功能，實現高壓自鎖閥故障自主診斷和閥門控制管理。根據裝訂的策略和參數，篩選壓力遙測并進行分析處理，組合條件判斷確定狀態區間，選擇執行對應的處理流程，自主調節高壓自鎖閥管路壓力。

(4)軌控管路超壓管理功能，實現推進軌控管路超壓故障自主診斷和閥門控制管理。根據裝訂的策略和參數，篩選管道壓力遙測并進行分析處理，組合條件判斷確定狀態區間，選擇執行對應的處理流程，自主調節軌控管路壓力。

(5)測控固態放大器超溫斷電自主管理功能，實現對X頻段測控固態放大器自主超溫診斷和斷電控制。根據裝訂的策略和參數，篩選固放溫度遙測并進行分析處理，組合條件判斷超限后，自主執行相關測控開關指令序列，實現X頻段測控固態放大器關閉保護。

3.4 關鍵事件可靠執行策略

由于在嫦娥四號的整個任務階段，有若干個影響任務成敗的關鍵事件，例如器箭分離、動力下降、兩器釋放分離、休眠喚醒等。這些事件時序要求強，不能中斷。因此，需要利用自主管理的方法使器上執行這些關鍵事件時，不受測控鏈路因素的影響，提高關鍵事件完成的可靠性與精準性。

(1)星箭分離程序控制功能，通過判斷星箭分離信號，來啟動星箭分離以后的程控指令，按預先設置時序完成火工品控制電路加電，貯箱增壓、姿控管路推進劑充填、太陽翼解鎖、轉移機構第一次解鎖、火工品控制電路斷電、切換測控工作模式等功能。

(2)動力下降、休眠延時指令鏈功能，新增對GNC分系統的延時注入數據管理和發送功能，為姿態軌道控制數據和GNC指令提供存儲管理和按時輸出功能，解決了月球背面動力下降階段短時間內大量控制指令及時、準確、可靠執行的關鍵難題。

(3)喚醒自主狀態設置，喚醒后自主進行狀態設置，對器上設備自主開機，按預期設置測控狀態，自動開啟兩相流體回路自主關閉功能，實現兩項流體回路自主管理。能夠根據篩選的遙測數據分別對+Y兩項流體回路和-Y兩項流體回路進行狀態判斷，自主執行相應的指令計劃，完成回路自主關閉。

4 飛行試驗驗證

2018年12月8日，嫦娥四號探測器于西昌衛星發射中心發射。至2018年12月12日，探測器經歷了器箭分離、中途修正、近月制動等關鍵事件，成功進入環月軌道。2019年1月3日進行了動力下降，成功著陸。著陸后，探測器完成了月面工作計劃任務，包括月面初始化、兩器分離、兩器互拍等；1月12日，著陸器進入第一個月夜休眠期；1月30日著陸器正常喚醒；2月1日，進入著陸器長期管理階段。

數管分系統在嫦娥四號發射飛行、月背著陸、月面工作、休眠喚醒的全過程中經歷了所設計的全部工作模式見表2。數管功能和性能滿足著陸器飛行任務要求；工程數據與載荷數據均通過中繼測控數傳鏈路按設計正確下傳；自主運行功能按預期正確執行。數管分系統所有設計已得到充分驗證，有力支持了任務圓滿成功。

表2 數管分系統在軌飛行試驗驗證情況

5 結束語

本文從體系結構、信息流設計、自主運行3個方面詳細介紹了嫦娥四號數據管理系統的設計特點，通過成功在軌運行驗證了設計的實效性。但目前大部分數據管理系統僅僅是實現了部分子系統的自主運行，自主技術仍關注的是星務管理、資源控制、健康監測等保障航天器正確運行的基本任務；隨著深空探測任務的多樣化和復雜化，系統級自主需求越來越迫切，自主技術由面向工程的系統自主向面向科學的系統自主發展，自主技術將會更注重深空探測任務的核心目標——科學目標的實現程度，此時自主系統將重點突出科學數據的處理、科學現象的在軌發現、突發科學事件的自主跟蹤觀測等面向科學的自主功能。實現在無人干預情況下的長期系統級自主是自主技術發展的必然方向。